隨著互聯(lián)網(wǎng)寬帶、移動技術的高速發(fā)展和普及,人們在暢享網(wǎng)絡生活的高效、便利、快捷的同時,正面臨著日趨嚴重的網(wǎng)絡信息安全威脅和隱患,廣大企業(yè)也面臨著日益嚴峻的新安全挑戰(zhàn)。傳統(tǒng)的系統(tǒng)安全、邊界安全已無法防衛(wèi)諸多新的惡意威脅。新華社近日刊發(fā)重點稿件《大數(shù)據(jù)時代信息"裸奔" 本土廠商能否擔當"安全圍欄"?》中便援引杭州迪普科技有限公司總裁王冰的觀點指出:“隨著云計算、移動互聯(lián)網(wǎng)技術對企業(yè)的一步步‘侵蝕’,企業(yè)的安全邊界被徹底打破。面對如今復雜的安全形勢,傳統(tǒng)的安全解決方案早已過時,安全產(chǎn)品和解決方案需要具有下一代網(wǎng)絡的性能和豐富特性、需要具有面向下一代安全威脅的集成抵御能力、需要具有面向下一代云計算平臺的虛擬化能力,同時需要具有基于專業(yè)安全咨詢服務的下一代安全架構設計能力。安全不再是一個產(chǎn)品或者幾個產(chǎn)品的組合,而是一整套思路、方法論以及認知。迪普科技將在傳統(tǒng)安全與應用安全多年積淀的基礎之上,重點聚焦安全服務與虛擬化,重筑網(wǎng)絡安全之道。”
踐行“應用即網(wǎng)絡”理念
秉承著“應用即網(wǎng)絡”的技術理念,,迪普科技安全產(chǎn)品可實現(xiàn)網(wǎng)絡與安全在管理、虛擬化、部署等方面的無縫融合,提供網(wǎng)絡與安全融合的L2-7服務。同時,迪普科技獨創(chuàng)的N:M虛擬化技術可以將各種安全設備根據(jù)業(yè)務需要進行虛擬化(多虛一和一虛多),為不同的應用提供不同的虛擬安全設備(VSA),例如虛擬防火墻、虛擬IPS、虛擬WAF等。針對不同的業(yè)務系統(tǒng),迪普科技通過VSA可提供自定義的安全資源,無需部署獨立的物理安全設備,無論從組網(wǎng)、管理、建設、靈活性、成本等方面都具有巨大的優(yōu)勢。
重筑網(wǎng)絡安全架構離不開核心技術的支持。迪普科技安全產(chǎn)品部技術總監(jiān)朱曉康介紹說,迪普科技安全架構包含三大核心技術,即L2-7融合操作系統(tǒng)ConPlat、高性能硬件架構APP-X、應用識別與威脅特征庫APP-ID。ConPlat是業(yè)內唯一的網(wǎng)絡與安全融合的操作系統(tǒng),將網(wǎng)絡與安全特性融合在一起,具有全面的操作系統(tǒng)級虛擬化能力,以及下一代網(wǎng)絡操作系統(tǒng)的高可靠特性。APP-X則基于多核CPU、FPGA以及分布式轉發(fā)技術,是實現(xiàn)高性能網(wǎng)絡轉發(fā)及安全處理的硬件基礎。APP-ID創(chuàng)新性地將應用特征庫、攻擊特征庫以及病毒庫三庫合一,是設備應用層業(yè)務處理能力的基礎。
朱曉康補充說,目前迪普科技DPX19000新一代云級業(yè)務核心平臺具有64T交換容量和3.2T的安全處理能力(64字節(jié)小包),為業(yè)內最高水平,而APP-ID由迪普科技的專家團隊維護,該團隊是國家漏洞庫的貢獻者之一,具有專業(yè)的分析能力和快速的響應能力,保證了APP-ID的有效性和更新的及時性。
真正的安全虛擬化能力
互聯(lián)網(wǎng)進入云計算和大數(shù)據(jù)時代,服務器虛擬化和數(shù)據(jù)集中部署顯著地改變了傳統(tǒng)網(wǎng)絡應用模式。飛速增長的數(shù)據(jù)和業(yè)務不僅使網(wǎng)絡架構變得非常復雜,同時也面臨網(wǎng)絡安全、應用體驗、業(yè)務持續(xù)可用等巨大挑戰(zhàn)。傳統(tǒng)網(wǎng)絡以連通性為核心構建,而新網(wǎng)絡面向應用的智能與彈性承載,同時安全威脅已由傳統(tǒng)的病毒木馬、系統(tǒng)漏洞、緩存溢出、SQL注入、XSS、0Day等轉變?yōu)樘摍C安全、移動安全、APT攻擊、大流量DDoS等。這就要求網(wǎng)絡引入虛擬化,從而實現(xiàn)IT基礎架構從“重”到“輕”,并可以按需自動化部署和擴展。
傳統(tǒng)的交換加安全的網(wǎng)絡中,L4~7設備成為性能瓶頸、無法對虛機進行有效的防護和流量管控、同時自身也缺乏資源池化的能力,業(yè)界缺少網(wǎng)絡和應用真正融合的、具備云級業(yè)務能力的產(chǎn)品和解決方案。迪普科技安全架構的技術優(yōu)勢包含以下3個方面:(1)L2-7深度融合、高性能業(yè)務處理能力和業(yè)務靈活部署;(2)虛機感知、資源池化和自動編排能力;(3)具備云數(shù)據(jù)中心核心要求的構架、可靠性及性能。
朱曉康介紹說,年中推出的DP xFabric解決方案架構印證了迪普科技真正的安全虛擬化能力。迪普科技xFabric解決方案架構通過VSM虛擬交換矩陣技術、VEM虛擬擴展矩陣技術、OVC操作系統(tǒng)級虛擬化技術、緊耦合和流定義技術等多種創(chuàng)新技術的結合,解決了傳統(tǒng)IT網(wǎng)絡、安全及應用交付系統(tǒng)建設模式中重復建設、信息孤島、業(yè)務與網(wǎng)絡割裂等種種弊端,為廣大用戶帶來了全新的“智能網(wǎng)絡”體驗,并將應用支持能力從單設備擴展到整網(wǎng)。”當前網(wǎng)絡建設模式開始從傳統(tǒng)模式向云網(wǎng)模式轉變,并以安全為核心重筑網(wǎng)絡,重點關注虛擬化趨勢。迪普科技DP xFabric充分考慮了這些需求,致力為更多客戶提供更高的價值。”朱曉康表示。
專業(yè)安全咨詢服務
信息安全是一個動態(tài)的概念,也是一個廣泛而復雜的課題,為滿足不同行業(yè)對信息安全的不同需求,迪普科技獲得了當前國內最高的信息安全服務二級資質,大力推進專業(yè)安全咨詢服務,適應企業(yè)自身安全管理的需要,提供包含從高端的全面安全體系到細節(jié)的技術解決措施,推出了安全風險評估類服務、安全規(guī)劃設計類服務、安全運維管理類服務、安全培訓類服務等四大類安全咨詢服務,致力于為廣大客戶提供動態(tài)安全服務體系。
為更深入地了解信息安全行業(yè)并為客戶提供專業(yè)、周到的安全服務,迪普科技特意設立了自己的安全研究機構——迪普科技安全研究中心,致力于研究應用安全和交付領域的相關問題。迪普科技安全研究中心通過與國內國際相關信息安全機構與組織、信息安全廠商合作來解決存在的安全問題,以保護廣大用戶的合法利益。迪普科技安全研究中心發(fā)現(xiàn)的漏同已陸續(xù)收錄中國國家信息安全漏洞庫、并兼容CVE規(guī)范,將研究成果以安全公告或者公開文檔的形式發(fā)布,以使我們的客戶、系統(tǒng)管理員、普通用戶、安全研究人員、產(chǎn)品廠商能了解安全缺陷發(fā)生的原因、找到解決問題的方法,從而可以從研究成果中受益。迪普科技安全研究中心還專門成立了安全攻防實驗室,網(wǎng)羅了一大批高水平的安全專家,致力于研究和發(fā)現(xiàn)計算機以及網(wǎng)絡系統(tǒng)中存在的各種安全缺陷,這些缺陷可能被黑客利用來破壞正常的工作。
迪普科技強調安全必須是面向業(yè)務應用的安全服務,以合規(guī)與行業(yè)化最佳實踐作為信息安全工作的落腳點,通過有效的信息安全風險評估服務,針對客戶業(yè)務系統(tǒng)進行信息安全管理評估、基礎設施技術風險評估、應用系統(tǒng)安全性、運維管理體系評估、物理安全評估與咨詢、等保建設差距評估,結合行業(yè)化的安全要求,從立體層面幫助客戶全面認知自身風險,讓安全技術有效地發(fā)揮作用,為組織提出分階段的風險控制規(guī)劃建議,為客戶提供更完善更有針對性的安全解決方案。
迪普科技為客戶提供安全解決方案包括高性能NAT技術解決方案、DNS攻擊防護技術解決方案、異常流量清洗技術解決方案、端點接入管理技術解決方案、上網(wǎng)行為管理及流控一體化技術解決方案、Web應用防護技術解決方案、、安全BYOD解決方案等。
隨附迪普科技DP xFabric核心技術簡介。
(1)VSM(Virtual Switching Matrix)虛擬交換矩陣
VSM是L2~7層N:1虛擬化技術,是業(yè)內唯一L2~7多合一虛擬化技術,可以將多臺設備虛擬為一臺邏輯設備。VSM不僅實現(xiàn)了網(wǎng)絡資源的虛擬化,還在業(yè)界首先實現(xiàn)了安全和應用交付資源的虛擬化,提高整網(wǎng)性能、可靠性與彈性。
(2)VEM(Virtual Extension Matrix)虛擬擴展矩陣
VEM將核心設備與接入設備虛擬化為一臺邏輯設備。核心設備對所有接入設備進行統(tǒng)一的管理和控制,接入設備相當于核心設備的擴展接口,所有接口流量都上行至核心設備進行處理。與VSM結合使用,可以將整網(wǎng)虛擬為一臺邏輯設備,實現(xiàn)1-Tier組網(wǎng)。
(3)OVC(OS-level Virtual Context)操作系統(tǒng)級虛擬化
OVC可以將一臺設備虛擬成多臺邏輯設備(虛擬系統(tǒng)),每個虛擬系統(tǒng)擁有獨立的資源和管理界面,不同虛擬系統(tǒng)間實現(xiàn)操作系統(tǒng)級隔離。通過OVC,可以實現(xiàn)網(wǎng)絡、安全與應用交付資源的1:M虛擬化。
(4)緊耦合與流定義
緊耦合是指業(yè)務板卡與機框的緊耦合,業(yè)務板卡可以提供豐富的安全與應用交付功能,并實現(xiàn)一鍵配置。流定義則可以讓數(shù)據(jù)流按需通過指定的業(yè)務板,針對不同應用提供不同的安全防護和應用交付能力。結合VEM技術,可以將安全與應用交付能力推廣至整網(wǎng)每個接口。